使用企业管理用户,您可以通过外部身份管理系统(IdP)管理GitHub.com或GHE.com上用户的生命周期和身份验证:
- 您的IdP设置新用户帐户在GitHub上,可以访问您的企业。
- 用户必须在您的IdP上进行身份验证访问GitHub上企业的资源。
- 你可以控制用户名、配置文件数据、组织成员资格和存储库访问来自您的IdP。
- 如果您的企业使用OIDC SSO,GitHub将使用您的IdP验证对企业及其资源的访问条件访问策略(CAP)。请参阅关于支持IdP的条件访问策略.
- 托管用户帐户无法创建公共内容或在企业外部进行协作。请参见托管用户帐户的能力和限制.
GitHub与一些身份管理系统开发人员合作,提供与企业管理用户的“铺平道路”集成。为了简化配置并确保全面支持,使用单个合作伙伴IdP进行身份验证和配置。
合作伙伴IdP使用SAML或OIDC提供身份验证,并使用跨域身份管理系统(SCIM)提供资源调配。
当您将单个合作伙伴IdP用于身份验证和供应时,GitHub为合作伙伴IdP上的应用程序以及IdP与GitHup的集成提供支持。
如果无法将单个合作伙伴IdP用于身份验证和供应,则可以使用其他身份管理系统或系统组合。系统必须:
- 坚持GitHub的集成指南
- 提供使用SAML进行身份验证,遵循SAML 2.0规范
- 提供使用SCIM进行用户生命周期管理,遵循SCIM 2.0规范并与GitHub的REST API通信(请参阅使用REST API为用户和组提供SCIM)
GitHub不明确支持混合合作伙伴IdP进行身份验证和供应,也不测试所有身份管理系统。GitHub的支持团队可能无法帮助您解决与混合或未测试系统相关的问题。如果您需要帮助,必须咨询系统文档、支持团队或其他资源。
重要
以下各项的组合Okta和Entra ID对于SSO和SCIM(按任意顺序)不支持如果配置了此组合,则在设置尝试时,GitHub的SCIM API将向标识提供程序返回错误。
GitHub通过规范化IdP提供的标识符,自动为每个开发人员创建用户名。如果在规范化过程中删除了标识符的唯一部分,则可能会发生冲突。请参见外部身份验证的用户名注意事项.
托管用户帐户的配置文件名称和电子邮件地址由IdP提供:
- 托管用户帐户不能在GitHub上更改他们的个人资料名称或电子邮件地址。
- IdP只能提供一个电子邮件地址。
- 在IdP中更改用户的电子邮件地址将使该用户与与旧电子邮件地址关联的供款历史记录断开链接。
在您的IdP中,您可以为每个托管用户帐户提供一个在企业中的角色,例如成员、所有者或来宾协作者。请参见企业中的角色.
可以手动管理组织成员身份(和存储库访问),也可以使用IdP组自动更新成员身份。请参阅使用身份提供程序组管理团队成员身份.
托管用户帐户可以向GitHub进行身份验证的位置取决于您如何配置身份验证(SAML或OIDC)。请参见使用企业管理用户进行身份验证.
默认情况下,当未经身份验证的用户尝试访问您的企业时,GitHub显示404错误。您可以选择启用自动重定向到单点登录(SSO)。请参见为企业中的安全设置强制执行策略.
